그리스몽키, 쓰지 마세요!
Posted: 2005 07 19 11:26 13
사용자가 만든 스크립트로 웹 사이트를 마음대로 조작할 수 있게 해주는 그리스몽키의 심각한 보안 문제가 드러났습니다. 문제가 되는 것은 GM_으로 시작하는 그리스몽키의 API들로 외부 사이트가 이 API를 써서 사용자의 정보를 빼낼 수 있다는 사실이 밝혀졌습니다. 실제로 그리스몽키를 설치한 상태에서 Mark Pilgrim이 만든 로컬 파일 유출 시험 문서를 열면 사용자의 하드 디스크에 저장된 boot.ini 파일 내용이 고스란히 드러납니다.
공식 사이트에는 아무런 이야기가 없지만, 그리스몽키 메일링 리스트에는 이 GM_ API들을 사용할 수 없게 만든 그리스몽키 0.3.5가 올라왔습니다. 그리스몽키 개발자들은 보안 문제를 해결하기 위해 그리스몽키를 DOM과 분리해서 실행할 수 있는 방법을 찾고 있습니다.(Greaseblog)
아직까지 이 문제로 피해를 보았다는 이야기는 없지만, 이 문제가 해결될 때까지는 그리스몽키를 사용하지 않는 것이 좋을 것입니다.
공식 사이트에는 아무런 이야기가 없지만, 그리스몽키 메일링 리스트에는 이 GM_ API들을 사용할 수 없게 만든 그리스몽키 0.3.5가 올라왔습니다. 그리스몽키 개발자들은 보안 문제를 해결하기 위해 그리스몽키를 DOM과 분리해서 실행할 수 있는 방법을 찾고 있습니다.(Greaseblog)
아직까지 이 문제로 피해를 보았다는 이야기는 없지만, 이 문제가 해결될 때까지는 그리스몽키를 사용하지 않는 것이 좋을 것입니다.